OSS保留原則具有WORM(Write Once Read Many)特性,滿足使用者以不可刪除、不可篡改方式儲存和使用資料。如果您希望指定時間內任何使用者(包括資源擁有者)均不能修改和刪除OSS某個Bucket中的Object,您可以選擇為Bucket配置保留原則。在保留原則指定的Object保留時間到期之前,僅支援在Bucket中上傳和讀取Object。Object保留時間到期後,才可以修改或刪除Object。
前提條件
華東1(杭州)、華東2(上海)、華東6(福州-本地地區)、華北1(青島)、華北2(北京)、華北 3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、美國(矽谷)、日本(東京)、韓國(首爾)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀)、德國(法蘭克福)、英國(倫敦)、阿聯酋(杜拜)地區支援設定保留原則。
確保需要設定保留原則的Bucket未開啟版本控制。關於版本控制的更多資訊,請參見版本控制介紹。
使用情境
OSS保留原則支援的WORM特性符合美國證券交易委員會(SEC)和金融業監管局(FINRA)的合規要求。適用於金融、保險、醫學、證券、日誌資料等保審查等情境。
注意事項
目前僅支援針對Bucket層級設定保留原則。
同一個Bucket中,不建議同時開通OSS-HDFS服務並設定保留原則。
如果Bucket開通了OSS-HDFS服務並設定了保留原則,會導致通過OSS-HDFS提供的方式刪除.dlsdata/
目錄下的資料時提示刪除成功,但在保留原則有效期間內OSS仍將保留該目錄下被刪除的資料,且在保留原則失效後也無法識別並刪除.dlsdata/
目錄下相關的資料。
Bucket內的Object在保留原則生效期間,可通過設定生命週期規則進行儲存類型轉化,在保證合規性的前提下,降低儲存成本。
規則說明
生效規則
當基於時間的保留原則建立後,該策略預設處於InProgress狀態,且該狀態的有效期間為24小時。在有效期間24小時內,此策略對應的Bucket資源處於保護狀態。
刪除規則
基於時間的保留原則是Bucket的一種Metadata屬性。當刪除某個Bucket時,該Bucket對應的保留原則也會被刪除。
啟動保留原則24小時內,如果該保留原則未提交鎖定,則Bucket所有者以及授權使用者可以刪除該策略。
如果Bucket內有Object處於保護周期內,那麼您將無法刪除保留原則,同時也無法刪除Bucket。
規則樣本
假設您在2022年06月01日為您帳號下的某個Bucket建立了保護周期為30天的保留原則,且該策略在建立後進入鎖定狀態。您在不同時間上傳了file1.txt、file2.txt、file3.txt三個Object。關於這三個Object的具體上傳時間以及對應的到期時間說明如下:
Object名稱 | 上傳時間 | Object到期時間 |
file1.txt | 2022年04月01日 | 2022年04月30日 |
file2.txt | 2022年06月01日 | 2022年06月30日 |
file3.txt | 2022年09月01日 | 2022年09月30日 |
操作步驟
使用OSS控制台
建立保留原則。
登入OSS管理主控台。
單擊Bucket 列表,然後單擊目標Bucket名稱。
在左側導覽列,選擇數據安全>保留策略。
在保留策略頁面,單擊創建策略。
在創建策略對話方塊,指定保留周期。
說明 保留周期以天為單位,取值範圍為1~25,550。
單擊確定。
說明 策略狀態為待鎖定。該狀態的有效期間為24小時。在有效期間24小時內,該策略對應的Bucket資源處於保護狀態。如果您不希望保留該策略,您可以在有效期間24小時內刪除策略。
鎖定保留原則。
單擊鎖定。
在彈出的對話方塊,單擊確定。
重要 基於時間的保留原則被鎖定後,您將無法鎖定保留周期或者刪除保留原則,且在保留周期內無法修改或刪除Bucket中的資料。
(可選)修改保留周期。
單擊編輯。
在彈出的對話方塊,修改保留周期。
使用阿里雲SDK
以下僅列舉常見SDK的設定保留原則的程式碼範例。關於其他SDK的設定保留原則程式碼範例,請參見SDK簡介。
Java
import com.aliyun.oss.ClientException;
import com.aliyun.oss.OSS;
import com.aliyun.oss.common.auth.*;
import com.aliyun.oss.OSSClientBuilder;
import com.aliyun.oss.OSSException;
import com.aliyun.oss.model.InitiateBucketWormRequest;
import com.aliyun.oss.model.InitiateBucketWormResult;
public class Demo {
public static void main(String[] args) throws Exception {
// Endpoint以華東1(杭州)為例,其它Region請按實際情況填寫。
String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
// 填寫Bucket名稱,例如examplebucket。
String bucketName = "examplebucket";
// 建立OSSClient執行個體。
OSS ossClient = new OSSClientBuilder().build(endpoint, credentialsProvider);
try {
// 建立InitiateBucketWormRequest對象。
InitiateBucketWormRequest initiateBucketWormRequest = new InitiateBucketWormRequest(bucketName);
// 指定Object保護天數為1天。
initiateBucketWormRequest.setRetentionPeriodInDays(1);
// 建立保留原則。
InitiateBucketWormResult initiateBucketWormResult = ossClient.initiateBucketWorm(initiateBucketWormRequest);
// 查看保留原則ID。
String wormId = initiateBucketWormResult.getWormId();
System.out.println(wormId);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}
PHP
<?php
if (is_file(__DIR__ . '/../autoload.php')) {
require_once __DIR__ . '/../autoload.php';
}
if (is_file(__DIR__ . '/../vendor/autoload.php')) {
require_once __DIR__ . '/../vendor/autoload.php';
}
use OSS\Credentials\EnvironmentVariableCredentialsProvider;
use OSS\OssClient;
use OSS\CoreOssException;
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
$provider = new EnvironmentVariableCredentialsProvider();
// Endpoint以杭州為例,其它Region請按實際情況填寫。
$endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
$bucket= "<yourBucketName>";
$config = array(
"provider" => $provider,
"endpoint" => $endpoint,
);
$ossClient = new OssClient($config);
try {
// 建立保留原則,指定Object保護天數為30天。
$wormId = $ossClient->initiateBucketWorm($bucket, 30);
// 查看保留原則ID。
print($wormId);
} catch (OssException $e) {
printf(__FUNCTION__ . ": FAILED\n");
printf($e->getMessage() . "\n");
return;
}
print(__FUNCTION__ . ": OK" . "\n");
Node.js
const OSS = require('ali-oss');
const client = new OSS({
// yourregion填寫Bucket所在地區。以華東1(杭州)為例,Region填寫為oss-cn-hangzhou。
region: 'yourregion',
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
accessKeyId: process.env.OSS_ACCESS_KEY_ID,
accessKeySecret: process.env.OSS_ACCESS_KEY_SECRET,
});
// 建立保留原則。
async function initiateBucketWorm() {
// yourbucketname填寫儲存空間名稱。
const bucket = 'yourbucketname'
// 指定Object保護天數。
const days = '<Retention Days>'
const res = await client.initiateBucketWorm(bucket, days)
console.log(res.wormId)
}
initiateBucketWorm()
Python
# -*- coding: utf-8 -*-
import oss2
from oss2.credentials import EnvironmentVariableCredentialsProvider
# 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
auth = oss2.ProviderAuth(EnvironmentVariableCredentialsProvider())
# 填寫Bucket所在地區對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。
# yourBucketName填寫儲存空間名稱。
bucket = oss2.Bucket(auth, 'https://oss-cn-hangzhou.aliyuncs.com', 'yourBucketName')
# 建立保留原則,並指定Object保護天數為1天。
result = bucket.init_bucket_worm(1)
# 查看保留原則ID。
print(result.worm_id)
Go
package main
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
"os"
)
func HandleError(err error) {
fmt.Println("Error:", err)
os.Exit(-1)
}
func main() {
// 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
provider, err := oss.NewEnvironmentVariableCredentialsProvider()
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 建立OSSClient執行個體。
// yourEndpoint填寫Bucket對應的Endpoint,以華東1(杭州)為例,填寫為https://oss-cn-hangzhou.aliyuncs.com。其它Region請按實際情況填寫。
client, err := oss.New("yourEndpoint", "", "", oss.SetCredentialsProvider(&provider))
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 填寫待配置保留原則的Bucket名稱。
bucketname := "<yourBucketName>"
// 指定Object保護天數為60天。
result,err := client.InitiateBucketWorm(bucketname,60)
if err != nil {
HandleError(err)
}
fmt.Println(result)
}
C++
#include <alibabacloud/oss/OssClient.h>
using namespace AlibabaCloud::OSS;
int main(void)
{
/* 初始化OSS帳號資訊。*/
/* yourEndpoint填寫Bucket所在地區對應的Endpoint。以華東1(杭州)為例,Endpoint填寫為https://oss-cn-hangzhou.aliyuncs.com。*/
std::string Endpoint = "yourEndpoint";
/* 填寫Bucket名稱,例如examplebucket。*/
std::string BucketName = "examplebucket";
/* 初始化網路等資源。*/
InitializeSdk();
ClientConfiguration conf;
/* 從環境變數中擷取訪問憑證。運行本程式碼範例之前,請確保已設定環境變數OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。*/
auto credentialsProvider = std::make_shared<EnvironmentVariableCredentialsProvider>();
OssClient client(Endpoint, credentialsProvider, conf);
/* 建立保留原則,指定Object保護天數為10天。*/
auto outcome = client.InitiateBucketWorm(InitiateBucketWormRequest(BucketName, 10));
if (outcome.isSuccess()) {
std::cout << " InitiateBucketWorm success " << std::endl;
std::cout << "WormId:" << outcome.result().WormId() << std::endl;
}
else {
/* 異常處理。*/
std::cout << "InitiateBucketWorm fail" <<
",code:" << outcome.error().Code() <<
",message:" << outcome.error().Message() <<
",requestId:" << outcome.error().RequestId() << std::endl;
return -1;
}
/* 釋放網路等資源。*/
ShutdownSdk();
return 0;
}
使用命令列工具ossutil
關於使用ossutil設定保留原則的具體步驟,請參見worm(保留原則)。
使用REST API
如果您的程式自訂要求較高,您可以直接發起REST API請求。直接發起REST API請求需要手動編寫代碼計算簽名。更多資訊,請參見InitiateBucketWorm。
常見問題
保留原則有哪些優勢?
保留原則可提供資料合規儲存,資料在保留原則保護周期內,任何使用者都不能刪除和修改。而通過RAM policy和Bucket Policy保護的資料,則存在被修改和刪除可能。
什麼情況下需要設定保留原則?
您需要長期儲存且不允許修改或刪除的重要資料,如醫學檔案、技術檔案、合約文書等,可以存放在指定的Bucket內,並通過開啟保留原則保護您的重要資料。
是否支援針對Object設定保留原則?
僅支援針對Bucket設定保留原則,不支援針對目錄以及單個對象設定保留原則。
如何計算Object的保留時間?
您可以結合Bucket內Object的最後修改時間以及保留原則設定的保留周期計算出Object的保留時間。例如,Bucket A設定了保留時間為10天的保留原則,Object的最後修改時間為2022年02月15日,則該Object的保留時間為2022年02月25日。
如何刪除已開啟保留原則的Bucket ?
如果該Bucket內未儲存Object,可以直接刪除該Bucket。
如果該Bucket內已儲存Object,且所有Object均已過了保護期,刪除該Bucket會提示失敗。此時,您可以先刪除該Bucket內所有Object,再刪除Bucket。
如果該Bucket內已儲存Object,且還有Object處於保護期內,無法刪除該Bucket。
如果OSS欠費,但仍有Object處於保留原則的保護期內,這些Object會被保留嗎?
在未付款的情況下,阿里雲會根據您簽署的合約條款及條件,應用對應的資料保留原則。
授權的RAM使用者是否可以設定保留原則?
保留原則相關API介面已全部對外開放,並且相關API操作已支援接入RAM policy。通過RAM Policy授權的RAM使用者可以通過控制台、API、SDK等方式建立、刪除保留原則。